keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 4 artikla Henkilötietojen käsittely
- 1 10 artikla Toimielinten välinen kyberturvallisuuslautakunta
- 1 13 artikla CERT-EU:n toimeksianto ja tehtävät
- 1 19 artikla Tietojen käsittely
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 37
- euroopan 15
- artiklan 15
- toimijoiden 15
- asetuksen 12
- kanssa 11
- nojalla 11
- cert-eu 11
- cert-eu:n 8
- mukaan 8
- tämän 8
- iicb 7
- mukaisesti 7
- tietojen 6
- kuin 6
- sekä 6
- cert-eu 5
- kyberturvallisuuden 5
- tietoja 5
- tarkoitettujen 5
- puheenjohtajan 5
- mukaista 5
- toimijat 5
- yhteistyötä 5
- toimielinten 5
- poikkeamien 5
- eu / artiklan 4
- pohjalta 4
- varten 4
- artikla 4
- kohdan 4
- lukien 4
- työjärjestyksensä 4
- muita 4
- joilla 4
- palvelut 4
- pyynnöstä 4
- tehtäviä 4
- niiden 4
- tvt-ympäristön 4
- perustetun 4
- toimijoille 4
- tarpeen 3
- verkko- 3
- välinen 3
- jollei 3
- tarjoaa 3
- tuetaan 3
- sitä 3
- kohdassa 3
4 artikla
Henkilötietojen käsittely
1. CERT-EU:n, 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan ja unionin toimijoiden tämän asetuksen nojalla suorittamassa henkilötietojen käsittelyssä noudatetaan asetusta (EU) 2018/1725.
2. Tämän asetuksen mukaisia tehtäviä suorittaessaan tai velvoitteita täyttäessään CERT-EU, 10 artiklan nojalla perustettu toimielinten välinen kyberturvallisuuslautakunta ja unionin toimijat käsittelevät ja vaihtavat henkilötietoja vain siinä määrin kuin on tarpeen ja yksinomaan kyseisten tehtävien suorittamista tai kyseisten velvoitteiden täyttämistä varten.
3. Asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa tarkoitettujen erityisten henkilötietoryhmien käsittelyn katsotaan olevan tarpeen kyseisen asetuksen 10 artiklan 2 kohdan g alakohdan mukaisesta tärkeää yleistä etua koskevasta syystä. Tällaisia tietoja voidaan käsitellä ainoastaan siinä määrin kuin on tarpeen tämän asetuksen 6 ja 8 artiklassa tarkoitettujen kyberturvallisuusriskien hallintatoimenpiteiden toteuttamista, 13 artiklan mukaista CERT-EU:n palvelujen tarjoamista, 17 artiklan 3 kohdan ja 18 artiklan 3 kohdan mukaista poikkeamakohtaisten tietojen jakamista, 20 artiklan mukaista tietojen jakamista, 21 artiklan mukaisia raportointivelvoitteita, 22 artiklan mukaista poikkeamanhallintaa koskevaa koordinointia ja yhteistyötä sekä 23 artiklan mukaista laajavaikutteisten poikkeamien hallintaa varten. Toimiessaan rekisterinpitäjinä unionin toimijat ja CERT-EU toteuttavat teknisiä toimenpiteitä estääkseen erityisten henkilötietoryhmien käsittelyn muita tarkoituksia varten ja huolehtivat asianmukaisista ja erityisistä toimenpiteistä rekisteröityjen perusoikeuksien ja etujen suojaamiseksi.
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
10 artikla
Toimielinten välinen kyberturvallisuuslautakunta
1. Perustetaan toimielinten välinen kyberturvallisuuslautakunta, jäljempänä ’IICB’.
2. IICB:n tehtävänä on
| a) | seurata ja tukea tämän asetuksen täytäntöönpanoa unionin toimijoissa; |
| b) | valvoa yleisten painopisteiden ja tavoitteiden täytäntöönpanoa CERT-EU:ssa ja antaa CERT-EU:lle strategista ohjausta. |
3. IICB koostuu seuraavista:
| a) | yksi edustaja, jonka kukin seuraavista on nimennyt:
|
| b) | kolme edustajaa, jotka EU:n virastojen verkosto (EUAN) on nimennyt TVT-alan neuvoa-antavan komiteansa ehdotuksesta edustamaan omaa TVT-ympäristöään käyttävien, muiden kuin a alakohdassa tarkoitettujen unionin elinten, toimistojen ja virastojen etuja. |
IICB:ssä edustettuina olevat unionin toimijat pyrkivät saavuttamaan sukupuolten tasapuolisen edustuksen nimettyjen edustajiensa keskuudessa.
4. IICB:n jäseniä voi avustaa sijainen. Puheenjohtaja voi kutsua muita 3 kohdassa tarkoitettujen unionin toimijoiden tai muiden unionin toimijoiden edustajia osallistumaan IICB:n kokouksiin ilman äänioikeutta.
5. CERT-EU:n päällikkö sekä direktiivin (EU) 2022/2555 14 artiklan nojalla perustetun yhteistyöryhmän, sen 15 artiklan nojalla perustetun CSIRT-verkoston ja sen 16 artiklan nojalla perustetun EU-CyCLONen puheenjohtajat tai heidän sijaisensa voivat osallistua IICB:n kokouksiin tarkkailijoina. IICB voi poikkeustapauksissa työjärjestyksensä mukaisesti päättää toisin.
6. IICB vahvistaa työjärjestyksensä.
7. IICB nimeää työjärjestyksensä mukaisesti jäsentensä keskuudesta puheenjohtajan kolmen vuoden ajaksi. Puheenjohtajan sijaisesta tulee IICB:n täysjäsen samaksi ajaksi.
8. IICB kokoontuu vähintään kolme kertaa vuodessa puheenjohtajansa aloitteesta, CERT-EU:n pyynnöstä tai minkä tahansa jäsenensä pyynnöstä.
9. Kullakin IICB:n jäsenellä on yksi ääni. IICB:n päätökset tehdään yksinkertaisella enemmistöllä, jollei tässä asetuksessa toisin säädetä. IICB:n puheenjohtajalla ei ole äänivaltaa, paitsi äänten mennessä tasan, jolloin puheenjohtajan ääni ratkaisee.
10. IICB voi toimia työjärjestyksensä mukaisesti käynnistettyä yksinkertaistettua kirjallista menettelyä noudattaen. Kyseisessä menettelyssä asianomainen päätös katsotaan hyväksytyksi puheenjohtajan asettamassa määräajassa, jollei joku jäsen esitä vastalausetta.
11. Komissio huolehtii IICB:n sihteeristön tehtävistä, ja sihteeristö on vastuuvelvollinen IICB:n puheenjohtajalle.
12. EUAN:n nimittämät edustajat välittävät IICB:n päätökset EUAN:n jäsenille. Millä tahansa EUAN:n jäsenellä on oikeus ottaa näiden edustajien tai IICB:n puheenjohtajan kanssa esille mikä tahansa asia, joka sen mielestä olisi saatettava IICB:n tietoon.
13. IICB voi perustaa toimeenpanevan komitean avustamaan sitä sen työssä ja siirtää komitealle joitakin tehtävistään ja valtuuksistaan. IICB vahvistaa toimeenpanevan komitean työjärjestyksen, mukaan lukien sen tehtävät ja valtuudet, sekä sen jäsenten toimikauden.
14. IICB toimittaa 8 päivään tammikuuta 2025 mennessä ja sen jälkeen vuosittain Euroopan parlamentille ja neuvostolle raportin, jossa kuvataan yksityiskohtaisesti tämän asetuksen täytäntöönpanossa tapahtunutta edistymistä ja täsmennetään erityisesti CERT-EU:n jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa kussakin jäsenvaltiossa tekemän yhteistyön laajuutta. Raportti otetaan huomioon direktiivin (EU) 2022/2555 18 artiklan nojalla joka toinen vuosi annettavassa kyberturvallisuuden tilaa unionissa käsittelevässä kertomuksessa.
13 artikla
CERT-EU:n toimeksianto ja tehtävät
1. CERT-EU:n toimeksiantona on edistää unionin toimijoiden turvallisuusluokittelemattoman TVT-ympäristön turvallisuutta neuvomalla niitä kyberturvallisuusasioissa, auttamalla niitä ehkäisemään, havaitsemaan, käsittelemään ja lieventämään poikkeamia, reagoimaan niihin ja palautumaan niistä sekä toimimalla niiden kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena.
2. CERT-EU kerää, hallinnoi, analysoi ja jakaa unionin toimijoiden kanssa tietoja kyberuhkista, haavoittuvuuksista ja poikkeamista turvallisuusluokittelemattomassa TVT-infrastruktuurissa. Se koordinoi poikkeamiin liittyviä hallintatoimia toimielinten välisellä ja unionin toimijoiden tasolla, muun muassa tarjoamalla erikoistunutta operatiivista apua tai koordinoimalla sen tarjoamista.
3. CERT-EU hoitaa seuraavia tehtäviä unionin toimijoiden avustamiseksi:
| a) | se tukee niitä tämän asetuksen täytäntöönpanossa ja edistää tämän asetuksen täytäntöönpanon koordinointia 14 artiklan 1 kohdassa lueteltujen toimenpiteiden tai IICB:n pyytämien tapauskohtaisten raporttien kautta; |
| b) | se tarjoaa unionin toimijoille vakioituja CSIRT-palveluja palveluluettelossaan kuvattujen kyberturvallisuuspalvelujen paketin avulla (perustason palvelut); |
| c) | se ylläpitää vertais- ja kumppaniverkostoa 17 ja 18 artiklassa esitettyjen palvelujen tukemiseksi; |
| d) | se tuo IICB:n tietoon tämän asetuksen täytäntöönpanoon sekä ohjeiden, suositusten ja toimintakehotusten täytäntöönpanoon liittyviä ongelmia; |
| e) | se edistää 2 kohdassa tarkoitettujen tietojen pohjalta unionin kyberturvallisuuden tilannekuvan muodostamista tiiviissä yhteistyössä ENISAn kanssa; |
| f) | se koordinoi laajavaikutteisten poikkeamien hallintaa; |
| g) | se toimii unionin toimijoiden puolesta direktiivin (EU) 2022/2555 12 artiklan 1 kohdan nojalla koordinoitua haavoittuvuuksien julkistamista varten nimettyä koordinaattoria vastaavana tahona; |
| h) | se tarjoaa unionin toimijan pyynnöstä kyseisen unionin toimijan yleisesti saatavilla olevien verkko- ja tietojärjestelmien ennakoivaa, ei-intrusiivista skannausta. |
Ensimmäisen alakohdan e alakohdassa tarkoitetut tiedot on soveltuvin osin ja tapauksen mukaan, jollei asianmukaisista salassapitoehdoista muuta johdu, jaettava IICB:n, CSIRT-verkoston ja Euroopan unionin tiedusteluanalyysikeskuksen (EU INTCEN) kanssa.
4. CERT-EU voi tapauksen mukaan 17 tai 18 artiklan mukaisesti tehdä yhteistyötä asiaankuuluvien kyberturvallisuusyhteisöjen kanssa unionissa ja sen jäsenvaltioissa, myös seuraavilla aloilla:
| a) | varautuminen, poikkeamien koordinointi, tietojenvaihto ja kriisinhallinta teknisellä tasolla unionin toimijoihin liittyvissä tapauksissa; |
| b) | CSIRT-verkostoa koskeva operatiivinen yhteistyö, myös keskinäisen avunannon osalta; |
| c) | kyberuhkatiedustelutieto, mukaan lukien tilannetietoisuus; |
| d) | mikä tahansa aihe, joka edellyttää CERT-EU:n teknistä kyberturvallisuusasiantuntemusta. |
5. CERT-EU tekee toimivaltansa puitteissa jäsenneltyä yhteistyötä ENISAn kanssa valmiuksien kehittämisen, operatiivisen yhteistyön ja kyberuhkista tehtävien pitkän aikavälin strategisten analyysien alalla asetuksen (EU) 2019/881 mukaisesti. CERT-EU voi tehdä yhteistyötä ja vaihtaa tietoja Europolin Euroopan kyberrikostorjuntakeskuksen kanssa.
6. CERT-EU voi tarjota seuraavia, muita kuin sen palveluluettelossa kuvattuja palveluja (maksulliset palvelut):
| a) | palvelut, joilla tuetaan unionin toimijoiden TVT-ympäristön kyberturvallisuutta, lukuun ottamatta 3 kohdassa tarkoitettuja palveluja, palvelutasosopimusten perusteella ja saatavilla olevien resurssien mukaan, erityisesti laaja-alainen verkkoseuranta, mukaan lukien erittäin vakavien kyberuhkien ensivaiheen ympärivuorokautinen seuranta; |
| b) | palvelut, joilla tuetaan unionin toimijoiden kyberturvallisuusoperaatioita tai -hankkeita, lukuun ottamatta operaatioita tai hankkeita niiden TVT-ympäristön suojaamiseksi, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta; |
| c) | asianomaisen unionin toimijan verkko- ja tietojärjestelmien ennakoiva skannaus pyynnöstä sellaisten haavoittuvuuksien havaitsemiseksi, joilla voi olla merkittävä vaikutus; |
| d) | palvelut, joilla tuetaan niiden TVT-ympäristön turvallisuutta, sellaisille muille organisaatioille kuin unionin toimijoille, jotka tekevät tiivistä yhteistyötä unionin toimijoiden kanssa esimerkiksi siksi, että niillä on unionin lainsäädännön nojalla siirrettyjä tehtäviä tai vastuita, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta. |
Sovellettaessa ensimmäisen alakohdan d alakohtaa CERT-EU voi poikkeuksellisesti tehdä palvelutasosopimuksia muiden kuin unionin toimijoiden kanssa IICB:n ennakkohyväksynnän pohjalta.
7. CERT-EU järjestää kyberturvallisuusharjoituksia ja voi osallistua niihin tai suosittelee osallistumista olemassa oleviin harjoituksiin, tapauksen mukaan tiiviissä yhteistyössä ENISAn kanssa, unionin toimijoiden kyberturvallisuuden tason testaamiseksi.
8. CERT-EU voi tarjota unionin toimijoille apua sellaisissa verkko- ja tietojärjestelmissä esiintyvien poikkeamien osalta, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja, jos asianomaiset unionin toimijat nimenomaisesti pyytävät sitä tekemään niin omien menettelyjensä mukaisesti. CERT-EU:n tämän kohdan nojalla tarjoaman avun tarjoaminen ei rajoita turvallisuusluokiteltujen tietojen suojaamista koskevien sovellettavien sääntöjen soveltamista.
9. CERT-EU ilmoittaa unionin toimijoille poikkeamien käsittelyä koskevista menettelyistään ja prosesseistaan.
10. CERT-EU tarjoaa asianmukaisten yhteistyömekanismien ja raportointisuhteiden kautta luottamuksellisuuden ja luotettavuuden korkean tason varmistaen asiaankuuluvia ja anonymisoituja tietoja laajavaikutteisista poikkeamista sekä tavasta, jolla ne on käsitelty. Nämä tiedot sisällytetään 10 artiklan 14 kohdassa tarkoitettuun raporttiin.
11. CERT-EU tukee yhteistyössä EDPS:n kanssa asianomaisia unionin toimijoita puututtaessa henkilötietojen tietoturvaloukkauksiin johtaneisiin poikkeamiin, sanotun kuitenkaan rajoittamatta EDPS:n toimivaltaa ja tehtäviä valvontaviranomaisena asetuksen (EU) 2018/1725 nojalla.
12. CERT-EU voi antaa teknistä neuvontaa tai lausuntoja asiaankuuluvista toimintapoliittisista kysymyksistä, jos unionin toimijoiden toimintapoliittiset osastot sitä nimenomaisesti pyytävät.
19 artikla
Tietojen käsittely
1. Unionin toimijat ja CERT-EU noudattavat salassapitovelvollisuutta Euroopan unionin toiminnasta tehdyn sopimuksen 339 artiklan tai vastaavien sovellettavien kehysten mukaisesti.
2. Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1049/2001 (10) sovelletaan pyyntöihin, jotka koskevat yleisön oikeutta tutustua CERT-EU:n hallussa oleviin asiakirjoihin, mukaan lukien mainitun asetuksen mukainen velvoite kuulla muita unionin toimijoita tai tarvittaessa jäsenvaltioita aina, kun pyyntö koskee niiden asiakirjoja.
3. Unionin toimijoiden ja CERT-EU:n suorittamassa tietojen käsittelyssä on noudatettava sovellettavia tietoturvallisuutta koskevia sääntöjä.
whereas